放置すればMicrosoftの「Windows」システムが「完全に乗っ取られる」恐れのある「Java」脆弱性について、Oracleがセキュリティパッチをリリースした。
今回リリースされたバグフィックスは、「Java Platform Standard Edition」(Java SE)のバージョン6u111、7u95、8u71、8u72がWindowsプラットフォームにインストールされている場合に悪用される恐れのある脆弱性(CVE-2016-0603)を修復する。
この脆弱性はリモートから悪用可能で、攻撃者はユーザー名やパスワード不要でネットワークを乗っ取ることができる。
ただし、このセキュリティ脆弱性を悪用するためには、攻撃者はユーザーを騙して、悪意のあるウェブサイトを訪問させ、問題のあるJava SEがインストールされる前に、感染ファイルをマシンにダウンロードさせる必要がある。
実行するのは困難だが、この脆弱性が実際に悪用されると、ユーザーのシステムが「完全に乗っ取られてしまう」恐れがある、と「Oracle Software Security Assurance Blog」の今回のパッチに関する投稿は警告した。
システムを乗っ取られるリスクは最初のインストールプロセスの間にのみ存在するので、Javaの既存バージョンを既に使用しているユーザーはCVE-2016-0603の影響を受けない、とOracleは述べている。
しかし、「『6u113』『7u97』『8u73』より前のバージョンのJava SEをダウンロードしたユーザーはこれらを破棄して、代わりに6u113、7u97、8u73以降のバージョンをインストールすべきだ」と同社は警告する。
このセキュリティパッチは累積的なものなので、インストール先のネットワークは、過去の「Critical Patch Update」および「Security Alert」のすべての既存フィックスも受け取ることになる。
今回のセキュリティアラートの一環として、Oracleはユーザーに対し、自分がJava SEの最新バージョンを実行していること、そして、旧バージョンがシステムから完全に削除されていることを確認するよう警告している。
さらに、代替的なJavaダウンロードサイトは「悪質」なものである可能性があるので、必ず公式のJavaダウンロードサイトからJavaアップデートを入手するよう同社はユーザーに勧めている。
OracleはCVE-2016-0603脆弱性のリスクとそれから身を守る方法についての詳細情報を「Oracle Technology Network」に掲載している。
2015年12月に成立した米連邦取引委員会(FTC)との和解の条件に基づき、OracleはJava SEの古いバージョンを実行しているユーザーに対して警告を発する義務を負っている。
この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。